Update: Nach unserer Kommunikation mit dem Google Play-Team wurde die App schließlich am 22. März aus dem Store gelöscht.
Pradeo hat eine bösartige mobile Anwendung entdeckt, die sich derzeit über Google Play verbreitet und von über 100.000 Nutzern installiert wird. Die Anwendung bettet einen Android-Trojaner namens Facestealer ein, der Social Engineering nutzt, um Facebook-Anmeldeinformationen zu stehlen und Verbindungen zu einem russischen Server herzustellen. Die Täter, die die Spyware einsetzen, haben vollen Zugriff auf die Facebook-Konten der Opfer und alle darin enthaltenen Daten, wie Kreditkartendaten, Unterhaltungen, Suchanfragen usw. (siehe vollständige Liste)
ID der Anwendung
Craftsart Cartoon Photo Tools
https://play.google.com/store/apps/details?id=com.craftstoon.cartoonphoto
com.craftstoon.cartoonphoto
Version 1.0.1
Mehr als 100.000 Installationen
Ein Trick, um Malware in Anwendungsstores einzuschleusen
Die oben erwähnte mobile Anwendung wird über Google Play und Anwendungsstores von Drittanbietern vertrieben. Um ein großes Publikum zu erreichen und ihre illegalen Aktivitäten zu verbergen, ahmt sie das Verhalten beliebter legitimer Fotobearbeitungsanwendungen nach. Tatsächlich wurde sie mit einem kleinen Stück Code versehen, das leicht unter dem Radar der Sicherheitsvorkehrungen der Stores durchschlüpft.
Sammlung von Zugangsdaten zur Gefährdung von Facebook-Konten
Sobald die Anwendung von den Nutzern gestartet wird, wird eine Facebook-Anmeldeseite geöffnet, und sie können die Anwendung nicht nutzen, wenn sie sich nicht anmelden. Wenn sie sich anmelden, werden ihr Benutzername und ihr Kennwort automatisch an Cyberkriminelle übermittelt, denen die Anwendung gehört.
Facebook-Anmeldedaten werden von Cyberkriminellen verwendet, um Konten auf verschiedene Weise zu kompromittieren, vor allem um Betrug zu begehen, Phishing-Links zu versenden und gefälschte Nachrichten zu verbreiten.
Verbindungen zu einer russischen Domäne
Die Anwendung Craftsart Cartoon Photo Tools stellt Verbindungen zu einer in Russland registrierten Domain her. Unsere Nachforschungen zeigen, dass diese Domain seit sieben Jahren immer wieder für mehrere bösartige mobile Anwendungen verwendet wird, die zeitweise bei Google Play verfügbar waren und später gelöscht wurden. Um bei Google Play präsent zu bleiben, ist das Neuverpacken von mobilen Anwendungen eine gängige Praxis für Cyberkriminelle. Manchmal haben wir sogar Fälle beobachtet, in denen das Repackaging vollständig automatisiert war.